米国のフィッシング詐欺対策団体「Anti Phishing Working Group(APWG)」が、ネット犯罪対策をテーマにした国際カンファレンス「CeCOS II 東京:Counter-eCrime Operations Summit」を開催する。これを前に、共催団体である日本のフィッシング対策協議会が19日、報道関係者向けに説明会を開催。カンファレンスの内容の一部を紹介するとともに、日本のフィッシング詐欺の近況を報告した。
● 正当なメールかどうか判別しにくい状況に
|
ビットキャッシュの片山昌憲氏(左)と、JPCERT/CCの小宮山功一朗氏(右)
|
説明会では、カンファレンスでも講演するビットキャッシュの片山昌憲氏(営業企画部部長)が、同社を騙ったフィッシングメールなど、決済会社やカード会社のブランドが悪用されている事例を紹介。「お金を扱う以上、ブランド力が高くなければユーザーに使ってもらえないが、逆にそのブランドを悪用して、いかにも安全と見せかけている」と説明した。
金融機関などからの融資案内を装ったフィッシング詐欺は“キャッシング詐欺”とも呼ばれ、ロゴやデザインなどをそっくりに作り込んだフィッシングサイトの事例がある。その一方で、メールを受け取っただけではテキストの文面を見る限り、正当なメールかどうかユーザーが判断しにくくなっていると指摘する。
経済産業省の清水友晴氏(商務情報政策局情報セキュリティ政策室課長補佐)も、最近ではこのようなメールも日本語が自然になり、ドメイン名はうさんくさいものの、文面はいかにも金融業者が送ってきそうなものになっていると指摘。実際に誘導先のサイトにアクセスしてしまわなくても、「毎日、大量に届くスパムメールに書いてあるような貸金サービスが実在すると思った時点で騙されている」と警告する。
さらに片山氏は、あるドメイン名を用いたキャッシング詐欺では、クレディスイスやスイス銀行など、20~30社のブランドを悪用し、融資案内を装ったフィッシングサイトが複数開設されている事例を報告。従来のフィッシング詐欺では、盗んだ個人情報を売りさばくのが目的だったのに対して、キャッシング詐欺は「ローンの借り入れ客につなげるために、悪徳貸金業者の顧客名簿を作るために行なわれている」。最近では消費者金融における借り手に対する審査が厳しくなっていることから、こうした潜在顧客が増加していることが社会的背景にあるという。
● 日本国内のフィッシャーでも摘発は困難?
|
経済産業省の清水友晴氏。個人情報を盗み取るものではなく、マルウェアをダウンロードさせるものだが、行政機関に「go.jp」ドメインのなりすましメールが届いている事例を報告
|
ビットキャッシュでは、自社ブランドを悪用されたフィッシングメール/サイトを検索エンジンなどでも自ら検索・調査しているが、ユーザーからの通報で発覚する場合が多いという。同社ではそのような場合、フィッシングサイトを開設されているレンタルサーバー業者に連絡し、閉鎖させる手法をとっており、通報から1時間以内に閉鎖まで漕ぎ着けられた事例もあるという。
一方、こういったネットを使った詐欺に疎い金融業者の中には、自社のブランドを悪用されたフィッシングサイトが開設されていても全く気付かず、半年間放置されていた事例もあるという。また、片山氏によれば、一連のキャッシング詐欺の実行者(フィッシャー)は日本国内にいることを突き止めたというが、これらのメールの送信を直接摘発するまでにはなかなか至らない模様だ。
JPCERT/CCの小宮山功一朗氏(早期警戒グループ情報セキュリティアナリスト)によると、ロゴなどをそのまま盗用したようなフィッシングサイトについては商標権や著作権の侵害で追求する方法があるが、メールだけの場合は、「クレディ○○」など、商標権や著作権で告発しにくい「微妙な所を突いてくる」のだという。
なお、迷惑メールという観点で、これらの送信元を摘発することも、現状では課題がある模様だ。
● フィッシング詐欺は、消費者側の対策が重要
|
フィッシング対策協議会のサイトで掲載している「被害にあわないための5カ条」
|
このように、騙られた企業側が必ずしもフィッシングサイトを閉鎖に追い込むわけではなく、フィッシングメールの送信自体の摘発も難しい現状がある。清水氏は、「これまでは騙られるブランド側の視点での対策だったが、一般消費者側の対策を重視する必要がある」と指摘する。
清水氏は、フィッシング対策協議会が2007年に発表した「被害にあわないための5カ条」を紹介し、これをさらに詳しくすると同時に、わかりやすくするために改訂していく必要があるとした。例えば、「第1条 怪しいメールに注意しましょう」についてはいったい何か怪しいのか、「第2条 電子メール本体にあるリンクはクリックしないようにしましょう」では、企業からの正当なメールでもリンクを多用することもある現状、不十分ではないかとした。
CeCOS II 東京は、5月26日・27日にグランドプリンスホテル赤坂(東京都千代田区)で開催する。小宮山氏によると、「世界のフィッシング対策の最前線を走っている人が、そのまま来日する。また、アカデミー、セキュリティベンダー、政府という全く異なった立場で対策を話し合う点も面白い」という。
日本からは、片山氏のほか、弁護士の高橋郁夫氏とTelecom-ISAC Japanの小山覚氏による「汚れたインターネットとの闘い」、日本レジストリサービスの堀田博文氏による「ccTLDレジストリから見たフィッシング対策」などの講演のほか、WinnyやShareユーザーの著作権侵害行為の摘発でも有名な京都府警ハイテク犯罪対策室の小山雅子室長もインターネット犯罪に関して講演する予定だ。
関連情報
■URL
CeCOS II 東京
http://www.antiphishing.org/events/2008_operationsSummit_jp.html
フィッシング対策協議会
http://www.antiphishing.jp/
■関連記事
・ APWGがネット犯罪対策カンファレンス「CeCOS II 東京」を5月開催(2008/03/21)
・ フィッシングによる“貸します詐欺”=「キャッシング詐欺」に注意(2007/03/30)
( 永沢 茂 )
2008/05/19 19:34
- ページの先頭へ-
|